Editorial. Cultura de seguridad de la información

Escrito por  Jueves, 20 Junio 2013 17:38

Custodio de la ventaja competitiva empresarial.. Hablar de una cultura de seguridad de la información en el contexto de una sociedad altamente conectada, de información instantánea, con movilidad permanente y exigente de nuevos servicios tecnológicos, es hablar de un blanco móvil en un escenario dinámico; es decir, el desafío de crear valor desde la protección de los activos de información, haciendo parte de las exigencias de los mercados emergentes donde la velocidad de ingreso, la oportunidad del producto y las ventajas superiores de los servicios marcan la diferencia, cuando de crear una experiencia diferente se trata.

La seguridad de la información como función de cumplimiento estratégico de una organización, debe ser la custodia de la esencia del tratamiento de la información, motivando la protección de aquello que importa a la empresa, con el fin de preservar la ventaja competitiva de la organización y su posición privilegiada en un mercado. En este sentido, el fortalecimiento de la cultura de seguridad de la información, se convierte en un esfuerzo dirigido desde la misma estrategia corporativa, que leído en clave de objetivo estratégico de negocio, significa asegurar que las decisiones que se toman se ajustan al cumplimiento de una declaración de cuidado y protección de aquello que nos diferencia y hace que seamos valorados en los mercados.

 

De ahí que la inversión en la cultura de seguridad de la información, es equivalente a los esfuerzos que las organizaciones actuales hacen alrededor de temas tan relevantes como ética, lavado de activos, corrupción, financiación del terrorismo, entre otros, los cuales en últimas buscan hacer más consciente a las personas de los riesgos a los que se encuentra expuesta a diario la empresa, como mecanismo de prevención frente a posibles fallas o retos regulatorios que pueda enfrentar la organización en el tratamiento de su información o la de terceros en su custodia.

 

Cultura de seguridad de la información

Como quiera que la cultura de seguridad de la información describe un conjunto de creencias, prácticas, símbolos, rituales y valores alrededor del tratamiento de la información, aspectos definitorios de qué es importante en el ejercicio de protección de la información, es preciso establecer cuándo esta mezcla homogénea de condiciones sociales y humanas se convierte en un apalancador de la estrategia corporativa, y cuándo se funda como un inhibidor de las potencialidades de la empresa frente a su entorno de negocio.

 

Una cultura de seguridad de la información que se encuentre enraizada dentro de los valores corporativos y se haga realidad en los comportamientos de la empresa, es decir, se practique desde aquello que nos interesa proteger y que es relevante para la toma de decisiones estratégicas, es una cultura que previene a la organización de actuaciones ilegales, de responsabilidades civiles frente a daños, de reclamaciones de sus grupos de interés y de reclamos por violaciones de políticas o compromisos voluntariamente adquiridos por la empresa.

 

En este sentido, la cultura de seguridad de la información protege la reputación y el valor mismo de la organización, toda vez que en el ejercicio sistemático de comportamientos íntegros respecto del tratamiento de la información, se entiende a nivel corporativo que una actuación inadecuada puede tener consecuencias que afecten las relaciones de la empresa, tanto dentro como fuera de ella. Esto es, comprometer el buen nombre de la corporación en el futuro inmediato,  degradando su reconocimiento empresarial y afectando la confianza de los terceros para hacer mejores negocios con ella.


Una cultura de seguridad de la información así expuesta y fundada desde el ejercicio de estrategia corporativa no tendrá otro efecto que el fortalecimiento de la organización en su sector de negocio, el desarrollo de un liderazgo explícito ante sus competidores y el reconocimiento de su entorno como jugador decidido y comprometido, no solamente con el buen tratamiento de la información, sino con la búsqueda del bien común como declaración general de todas sus actuaciones.

 

Cuando desarrollamos una cultura de seguridad de la información fundada exclusivamente en reglas y castigos por violaciones a las mismas, generamos un ambiente de temor, de desconfianza y de “encubrimiento de los errores”. Si bien, es necesario adelantar procesos disciplinarios y sancionatorios cuando se advierte una violación crítica frente al tratamiento de la información, que termine alterando una relación de negocios o impactando una futura, es claro que el fortalecimiento de los valores frente a la información y el liderazgo con el ejemplo, son factores determinantes para movilizar los esfuerzos de transformación de los comportamientos adecuados para proteger la información.

 

Una cultura de seguridad de la información que solamente busca culpables o violadores de las reglas, no podrá incorporarse como fuente de valor para la estrategia de la empresa, sino como factor que limita y compromete una gestión efectiva de la protección del valor de los activos críticos de información. Esto se presenta dado que la cultura de la represión y castigo en el mediano plazo genera “antecedentes negativos” que disuaden a futuros agresores de las políticas en sus intenciones, no por convencimiento de la importancia del tema, sino por el miedo a la sanción, lo que claramente no anima una cultura de protección saludable, sino una cultura de protección perversa que sólo espera el comportamiento inadecuado para actuar.

 

Cultura de seguridad de la información, una forma de hacer negocios

Así las cosas y como quiera que se hace necesario integrar las reglas, estándares y procedimientos para el tratamiento de la información, así como los valores y comportamientos íntegros frente a su protección, la cultura de seguridad de la información debe transformarse de ese conjunto de prácticas necesarias para asegurar el cumplimiento de una norma, a una forma de hacer negocios de manera efectiva y confiable, a una lectura estratégica de metas corporativas que abre nuevas posibilidades con nuevos jugadores del entorno.

 

Conscientes de que nuestro entorno actual demanda compartir información y mantener relaciones informadas de manera permanente, desarrollar una cultura de seguridad de la información basada en reglas no será la mejor opción por lo anteriormente anotado, sino en una que conjugue las reglas, los valores y la cultura, así como aquello que hace única la relación entre las partes.


Entender estas tres condiciones base para elaborar una propuesta de un conjunto de prácticas relevantes y efectivas de protección de la información, es la respuesta que el entorno de negocios actual espera, una experiencia para movilizar esfuerzos de manera confiable, no por miedo a sanciones o represión, no por ventaja o posicionamiento de uno u otro actor, sino por el logro de un beneficio mutuo encaminado a que el mercado reconozca la voluntad de los participantes para administrar los riesgos del tratamiento de la información de manera conjunta, asegurando sus objetivos comunes, sin comprometer la independencia o ventaja competitiva particular; esto es, potencializando las sinergias de ambas empresas.

 

Reflexiones finales

En este entendido, la cultura de seguridad de la información descifra la forma como la empresa se hace más rentable, más reconocida y recordada, pues es capaz de conjugar la ventaja competitiva; es decir, esa forma particular a través de la cual una organización se diferencia en un mercado, con la manera en que la empresa desde su hacer natural, reconoce a la información como bien requerido y estratégico para operar, para tomar decisiones y confirmar su compromiso ejecutivo con la protección de la información, más allá de un tema de cumplimiento, sino como declaración de gobierno corporativo.

 

En consecuencia, este número de la revista sistemas busca revisar algunos de los aspectos propios del reto de construir una cultura de seguridad de la información, para descubrir su valor real en las organizaciones y cómo en el contexto de una renovación permanente de las empresas podemos conjugar prácticas referentes,  que articulen las necesidades propias de los negocios y el aseguramiento de los derechos y garantías de los ciudadanos; es decir, fundar las bases de un sistema de tratamiento de información de clase mundial.

 

Referencias

[1] CHATMAN, J. y CHA, S. (2003) Leading by levaraging culture. California Management Review. Vol.45, No.4. Summer.

[2] ALFAWAZ, S., NELSON, K. and MOHANNAK, K. (2010) Information security culture: a behaviour compliance conceptual framework. In: AustralasianInformation Security Conference (AISC) proceedings. Brisbane, Australia.

[3] LIM, J., CHANG, S., MAYNARD, S. y AHMAD, A. (2009) Exploring the Relationship between Organizational Culture and Information Security Culture. Proceedings of the 7th Australian Information Security Management Conference. Perth, West Australia.

[4] PRICEWATERHOUSECOOPERS y COMPLIANCE WEEK (2012) The state of compliance 2012. Disponible en: http://www.pwc.com/en_US/us/risk-management/assets/2012-compliance-study.pdf(Consultado: 1-05-2013)

 

Jeimy J. Cano, Ph.D, CFE. Miembro investigador del Grupo de Estudios en Comercio Electrónico, Telecomunicaciones e Informática (GECTI) de la Facultad de Derecho y Profesor Distinguido de la misma Facultad, Universidad de los Andes. Colombia. Ingeniero y Magíster en Ingeniería de Sistemas y Computación de la Universidad de los Andes. Ph.D in Business Administration de Newport University, CA, Estados Unidos. Especialista en Derecho Disciplinario de la Universidad Externado de Colombia. Executive Certificate in Management and Leadership del MIT Sloan School of Management, Boston, Estados Unidos. Profesional certificado como Certified Fraud Examiner (CFE) por la Association of Certified Fraud Examiners y Cobit Foundation Certificate por ISACA.

 

Califique este elemento
(3 votes)
Leido 16524 veces Modificado por ultima vez Lunes, 24 Junio 2013 14:29

Ingrese su comentario

Por favor confirme que ingreso la informacion requerida. Codigo HTML no esta permitido

Actividades Académicas

 

Sobre ACIS

La Asociación Colombiana de Ingenieros de Sistemas es una organización sin ánimo de lucro que agrupa a más de 1500 profesionales en el área de sistemas. ACIS nació en 1975 agrupando entonces a un número pequeño de profesionales en sistemas. Más información